A un mois d'intervalle la cour d'appel de Rennes a annulé deux procédures engagées par la SACEM (Société des auteurs, compositeurs et éditeurs de musique) et la SCPP (Société Civile des Producteurs Phonographiques) contre des utilisateurs de réseau p2p. Dans les deux cas, la décision ne porte pas sur le caractère illicite ou non du téléchargement, mais sur la manière dont les agents assermentés avaient identifié l'internaute. A deux mois du passage de la loi «Création et Internet» devant le parlement, qui prévoit de confier à une autorité administrative la mise en œuvre de la riposte graduée, la cour d'appel de Rennes a en effet considéré que les investigations de ces agents pour traiter des données à caractère personnel (adresse IP et données de connexions) sans avoir obtenu l'autorisation de la CNIL constituaient une infraction pénale.
La première histoire remonte à 2005. La SACEM et la SDRM (Société pour l'administration du droit de reproduction mécanique) accusent un internaute d'Ile-et-Vilaine d'avoir mis à disposition sur les réseaux p2p environ 3000 morceaux de musique dont elle gère les droits. Condamné en première instance à payer 1000 € d'amende et 2590 € de dommages et intérêts à verser aux ayants droit, le jeune homme fait appel. Le 22 mai dernier , la cour d'appel de Rennes annule la procédure considérant que les droits individuels de l'utilisateur avaient été bafoués. Elle constate que «l'ensemble des opérations effectuées par l'agent de la Sacem» constitue «un traitement automatisé de données à caractère personnel» , lequel, au moment des faits, n'était pas encore autorisé par la CNIL . Et donc qu' «en l'absence d'autorisation préalable de la CNIL pour procéder à ces opérations, les constatations relevées par l'agent ayant pour finalité la constatation du délit de contrefaçon, commis via les réseaux d'échange de fichiers "peer-to-peer", portent atteinte aux droits et garanties des libertés individuelles.»
La seconde affaire remonte également à 2005. Suite à une plainte de la SCPP, une perquisition a été réalisée au domicile d'un internaute nantais pour avoir mis à disposition de 22954 fichiers musicaux sur les réseaux p2p, et détenir des DVD et CD de divx et mp3 dont il n'a pas les droits. Ses quatre disques durs, et l'ensemble de ses clés USB, CD et DVD étaient saisis. Le 8 mars 2007, l'internaute était condamné à trois mois de prison avec sursis. Mais, le 23 juin dernier, la cour d'appel de Rennes a annulé la procédure, révèle le site Juriscom . Elle rappelle à cette occasion que l'adresse IP d'un internaute constitue «une donnée à caractère personnel» et qu'en consultant les fichiers partagés par l'internaute et en «en extrayant de façon automatisée» son adresse IP et ses données de connexions sans avoir demandé au préalable l'autorisation de la CNIL, l'agent assermenté de la SCPP, qui n'a pas «la qualité d'auxiliaire de justice» , s'est livré «à un traitement irrégulier et illicite de données à caractère personnel, pénalement sanctionné, qui justifie que soit prononcée l'annulation du procès verbal» .
La cour d'appel de Rennes reconnait donc que l'adresse IP est une donnée personnelle et que le traitement unique (d'une seule adresse IP) par un agent assermenté au moyen de logiciels informatiques est un traitement automatisé. Elle estime donc, et c'est une première, que l'autorisation de la CNIL est nécessaire dans ce cas, et non seulement en cas de collecte massive. Enfin, elle reconnait que les agents assermentés de la SCPP ont commis une infraction pénale, condamnable selon le code pénal à 3 ans d'emprisonnement et 500000 € d'amende.